Перейти к содержимому


Фотография
* * * * * 1 Голосов

Восстановление бэкапов *.tib после шифровальщика

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 6

#1 OFF   evgalci

evgalci

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 06 Январь 2020 - 11:39

Привествую всех!

Хранились образы системы на локальном диске  (под защитой Acronis Active Protection Service). Ранее были случаи попадания шифровальщика с его действием, но архивы не затрагивались. И вот в декабре 2019г. числа 29. Шифровальщик DHARMA зашифровал бэкапы и все файлы на компе. Размеры бэкапов порядка 25-100Гб. Есть ли возможность в HEX-редакторе произвести замены заголовка бэкапа под восстановление? ПО Acronis True Image была куплена,обращался в техподдержку Acronis, ответа пока нет. Ранее они заявляли, что их пользователи защищены от шифровальщиков. Образцы зашифрованных файлов и сообщение о вымогательстве прикрепляю. Спасибо всем за любую помощь.

Прикрепленные файлы


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 942

Награды

           

Отправлено 06 Январь 2020 - 13:28

Расшифровки нет ни у одной антивирусной компании.


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   evgalci

evgalci

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 12 Январь 2020 - 13:13

Архив *.tib создавался Acronis TI, где вирус dharma зашифровал не целиком, это касается всех больших файлов размером более 100Мб. Немного разобрался что повреждено в архиве(образе) *.tib. 1. Заголовок файла размером  262144 байт ( в НЕХ-редакторе с адреса 0000 0000 по 0004 0000 ) прописаны 0. В конце файла также вырезана такого же размера данные и пересоздан новыми данными, где область (если конец удаленного архива считать с адреса 0000 0000 ) по 000C 013F заполнена 0, после идет зашифрованная часть для заголовка и конца файла с 000C 013F по 0010 012F. А теперь о восстановлении самого архива. Брал за исправный образ архива, созданный с того же раздела диска что и архив  который хочу восстановить. Использовал НЕХ-редактор FlexHex ( как по мне очень простой и удобный). Вырезал заголовок с созданного архива и перенес в редактируемый, также в хвосте выполнял разные варианты переноса, каждый раз делал сохранения. Acronis TI при этом выдает ошибку чтения архива. Пробовал варианты взяв за основу архивы чистого диска (раздела), также пробовал пересозданный с директориями без файлов и другие варианты. Дальше не знаю где искать решение.


  • 0

#4 OFF   evgalci

evgalci

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 12 Январь 2020 - 21:41

Нашел инфу как Acronis определяет неисправный файл....точнее один из начальных запросов на состояния архива ..... в конце файла формируется значения контрольной суммы размера самого файла, что и определяет его целостность ......... буду двигаться дальше

и вроде можно монтировать 2-3-4.... бекапа вместе и организовывать массив с контрольнной суммой ...и будет все ок

там конкретно последняя запись и есть контрольная сумма


  • 0

#5 OFF   evgalci

evgalci

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 16 Январь 2020 - 22:03

Есть решение, частичное и не всегда вам поможет. В чем суть. Если знаете как были организованы директории и названия файлов с расширением на диске(разделе) с которого бэкап создавали, тогда можно попытатся восстановить. Для этого создаете новый бекап, где должны быть воссозданы директория и размещены фалы как в зашифрованном бэкапе, размер файлов приблизительный, главное общий размер должен быть подогнан под зашифрованный бекап (это важно). Использовал HEX-редактор HexFrame Neo (быстрый, сложный, многофункциональный). После чего копируете с нового бекапа заголовок 269 144 байт ( 0000 0000 - 0003 FFFF) и содержимое копируете в зашифрованный бэкап по этом адресу ( в данном случае он заполнен 0 ). Следующее, вырезаете в конце зашифрованного бэкапа область ( в каждом случае размер архива разный, я об этом писал выше) размер в 0010 012F и также переносите в эту область зашифрованного бэкапа данные ( подгоняете размер заполняя 0 впререди этого блока). После этого редактирования бэкап стал читатся и открыватся Acronis TI. Может я сжато описал, надеюсь вам поможет. 


P.S. ( 0010 012F ) размер 785408байт. Важно чтобы размер бэкапа был кратным 16 байт


Сообщение отредактировал evgalci: 16 Январь 2020 - 21:40

  • 0

#6 OFF   evgalci

evgalci

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 20 Январь 2020 - 20:24

Существует простой но геморный способ восстановления ( части архива) используя бесплатную утилиту offzip с командной строкой «offzip.exe -R -o -a -1 -z 15 <.tib> <.bin>», которая создает несжатый двоичный образ. Далее подключаем образ *.BIN используя прогу R-Studio Network Edition, далее глубокое сканирование (использовать все форматы диска) восстанавливаем значительную часть на другой носитель(диск) при этом ( есть склейка файлов их много), далее ручная сортировка ..... Желаю творческих успехов


  • 0

#7 OFF   evgalci

evgalci

    Новичок

  • Новички
  • Cообщений: 6

Отправлено 21 Январь 2020 - 20:56

Существует программа по восстановлению данных с "нечитаемых" бэкапов Акронис, под именем: Multiextractor последняя ее версия 4.8.0. Создатель польская канторка, вот ссылка  https://www.multiextractor.com/ Как заверяют разработчики, она умеет почти все, даже вытягивать данные с убитых архивов Акрониса. ....... Вот она это делает очень поршиво и через ужасный интерфейс. Собрана данная прога  с архиватора offzip ( есть библиотека zlib) + дешевого рекавери файлов и завернута в  оболочку.... Для очищения совести cписывались знакомые с разработчиками и они уверяли, их прога есть панацея от всего ..... Настоящий момент в свободном скачивании существует репак версии 3.3.0 этой проги, но тут уже есть 4.8.0 и умеет почти все заявленное что выложено на сайте. Итоги: была оплачена версия PRO за 49 бакинских по безнадеге ( имя кто решился не соообщается), тестилась, всеми вариациями под восстановление смогла при размере архива в 23Гб вынять 1,3Гб ... и только картинки и иконки.... За что огромный респект создателяем етого чуда!!! Далее делайте выводы и не ведитесь на рекламы .... Всего хорошего в нелегком деле по восстановлении данных......


Сообщение отредактировал evgalci: 21 Январь 2020 - 20:58

  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных